Ce document de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) fait partie d'une collection sur la supervision de sécurité, couvrant trois volets : stratégique, opérationnel et technique. Ce guide opérationnel aide à comprendre l'organisation et le pilotage d'un service de supervision de sécurité.
La supervision de sécurité désigne l'ensemble des moyens et des activités concourant, dans les meilleurs délais, à :
-
La détection et qualification d'un incident de sécurité sur un périmètre supervisé
-
Le choix de la réaction appropriée lorsque cet incident est avéré
-
Ces moyens peuvent être humains, organisationnels, techniques et financiers
| Aspect | Supervision informatique | Supervision de sécurité |
|--------|--------------------------|------------------------|
| Nature | Anomalies techniques | Activités malveillantes intentionnelles |
| Exemples | Taux d'occupation élevé, défauts logiciels | Exploitation de vulnérabilités, fuites d'informations |
| Observabilité | Facilement observable | Difficile à détecter (techniques de dissimulation) |
Note : Sur le terrain, ces deux formes sont souvent intriquées.
La supervision de sécurité interagit avec plusieurs fonctions :
-
Renseignement sur la menace : Fournit les ressources pour concevoir les règles de détection
-
Réponse à incidents : Reçoit les incidents qualifiés et applique les stratégies de réponse
-
Gouvernance : Fournit les moyens financiers et humains, sponsorise la supervision
-
Gestion opérationnelle des SI : Fournit les connaissances statiques et dynamiques du périmètre supervisé
L'analyse des données se fait en deux étapes :
-
Étape automatisée : Identification d'événements significatifs via des systèmes automatisés
-
Étape manuelle : Vérification et qualification en incidents par une équipe d'analystes
Classification des résultats (matrice de confusion) :
-
Vrais positifs : Détection correcte d'une activité malveillante
-
Vrais négatifs : Absence correcte d'activité malveillante
-
Faux positifs : Fausse alerte (surcharge inutile)
-
Faux négatifs : Non-détection (difficile à observer)
Les analystes vérifient les événements de sécurité et qualifient les incidents. Leurs missions incluent :
-
Tâches complexes soumises au contexte
-
Recoupements et pivots dans les données
-
Automatisation partielle de leurs actions
Toutes les composantes décrites dans ce chapitre sont au service des analystes.
Les données doivent être :
-
Signifiantes : Reflètent l'activité du SI
-
Pertinentes : Adaptées aux enjeux de sécurité
-
Diversifiées : Proviennent de multiples sources (logs système, pare-feux, trafic réseau)
-
Enrichies : Filtrées, complétées d'informations supplémentaires, agrégées
C'est un document interne élaboré par l'équipe de supervision pour répondre à ses besoins concrets. Elle relie :
-
Objectifs de sécurité (orientations cyber de la gouvernance)
-
Familles de données et points de collecte pertinents
-
Règles de détection
Éléments requis :
-
Moyens alloués (financiers, humains)
-
Analyse de risque du SI supervisé
-
Objectifs de supervision et données associées
-
Architecture technique
-
Gouvernance de la supervision
Révision : Régulière au démarrage, puis annuelle selon la maturité.
-
Définition des attentes et des moyens : Conception de la stratégie de détection
-
Indicateurs et tableaux de bord : Information décisionnelle sur l'activité
-
Veille en vulnérabilités et menaces : Liaison avec l'écosystème externe
-
Gestion du cycle de vie des règles de détection : Ajout, test, adaptation, maintenance
-
Connaissance du périmètre supervisé : Cartographie et analyse des risques
-
Gestion des sources et des capteurs : Choix et évolution des combinaisons
-
Analyse au fil de l'eau : Détection automatisée pendant la collecte
-
Analyse à postériori : Recherche rétrospective sur des données passées
-
Qualification et signalement des incidents : Production d'incidents avérés
-
Choix et suivi d'une réponse à incidents : Proposition et suivi des réponses
-
Planification et management du périmètre technique
-
Conception et architecture du SI
-
Intégration des briques techniques
-
Exploitation du SI
Formalisent les choix pour implémenter les processus métier (ex : escalade, notifications, relances).
Déclinaison technique de la stratégie de supervision, comportant trois dimensions :
-
Connaissance de la menace
-
Contexte technologique
-
Maîtrise de l'agencement technique du SI
Caractéristiques :
-
Peuvent être génériques ou spécifiques
-
Basées sur signature ou comportementales
-
Évoluent avec la maturité de la supervision
Architecture fonctionnelle incluant :
-
Collecteurs : Acheminent les événements vers la partie centralisée
-
Capteurs : Analysent localement les activités et émettent des alertes
-
Traitements : Normalisation et filtrage des événements
-
Enrichissement : Ajout de valeur aux données
-
Outil d'analyse : Stocke, indexe, et exploite les événements/alertes
-
Outil de gestion de cas : Suivi et coordination des investigations
-
Référentiel de règles : Soutien du cycle de vie des règles
-
Outils d'investigations complémentaires : Levée de doute sur les éléments identifiés
-
Outils de gestion de la connaissance : Capitalisation du savoir
-
Questionner le sentiment de sécurité : Impliquer la gouvernance dans l'amélioration continue pour éviter une fausse confiance
-
Garantir la continuité de l'amélioration continue : Poursuivre les investissements pour détecter les menaces avancées
-
Faire preuve de discernement technique : Baser les acquisitions sur une stratégie réelle et une analyse de risque
-
Garder les objectifs cyber en ligne de mire : Éviter le biais de performance
Recommandation associée : R1 - Acquérir de la connaissance sur le SI à superviser selon plusieurs axes (risques, technologies, architecture, vie du SI)
Le triangle « coût, qualité, délais » s'applique :
-
Budget : Doit être cohérent avec le périmètre et les objectifs, échelonné sur plusieurs exercices
-
Qualité : Définie dans la stratégie, ne doit pas être un facteur d'ajustement
-
Planification : À long terme, progressive selon l'assimilation de l'équipe
Recommandations associées :
-
R2 - Préparer le SI avant de le superviser (élever le niveau de sécurité)
-
R7 - Avancer progressivement vers la maturité (processus, outils, périmètres)
-
R8 - Mettre en cohérence les ressources avec les ambitions
-
Éviter la fatigue des alertes : Traitement répétitif de faux positifs semblables menant à démotivation
-
Identifier et atténuer les biais : Excès de confiance, biais de confirmation, d'automatisation, de complaisance, etc.
-
Reconnaître et célébrer les succès : Contre-balancer la tendance naturelle à valoriser les échecs
-
Adapter le management : Sensibilisation aux tâches récurrentes et mise en place de soutien
-
Gérer les carrières : Recrutement et évolution des compétences
-
Prévenir l'instrumentalisation du personnel : Protection contre le ciblage des profils critiques
-
Adopter une posture défensive adéquate : Éviter les environnements trop contraints
-
Maximiser la disponibilité des sources de données : Surveiller les techniques de dissimulation
-
Choisir des données représentatives : Diversifier les sources, sélectionner les qualitatives
-
Maîtriser le nombre d'incidents : Aligner le SI aux pratiques d'hygiène informatique
-
Réduire le nombre de faux positifs : Adapter les règles aux spécificités du SI supervisé
-
Ancrer la supervision dans un fonctionnement collaboratif : Développer les relations avec l'écosystème
Recommandations associées :
-
R3 - Commencer à superviser avec les moyens en place
-
R4 - Adopter une démarche ascendante et diversifier les données
-
R5 - Porter un intérêt particulier aux postes de travail
-
R6 - Adopter une démarche frugale face au volume de données
-
R10 - Cultiver la confiance vis-à-vis des parties prenantes
-
Être constant : Couvrir le périmètre avec un équilibre coût/efficacité stable
-
Rester aligné : Maintenir la cohérence avec le périmètre supervisé en évolution
-
Être flexible : S'adapter aux variations de charge (actualité, opérations SI)
-
Maintenir l'expertise : Garder le contrôle sur les couches techniques complexes
-
Anticiper les effets de seuil : Difficiles à prévoir, détectés souvent après dépassement
La journalisation est une mesure de sécurité visant :
-
L'adaptation du niveau de sécurité au niveau de risque
-
L'imputabilité des actions menées sur un SI
Cadres réglementaires :
-
RGPD (données à caractère personnel)
-
Directive NIS (transposition nationale)
-
Arrêtés sectoriels de la LPM 2015-2019
-
Loi de 2004 pour la confiance dans l'économie numérique
-
PSSIE (politique de sécurité des SI de l'État)
Note : Les SI de supervision doivent aussi respecter le RGPD quand ils traitent des données personnelles.
Le SI de supervision doit être défendu comme tout SI :
-
Risques utilisateurs, partenaires, interconnexions, éléments vulnérables
-
Une stratégie de supervision dédiée au SI de supervision est nécessaire
La supervision est une cible d'intérêt pour les attaquants visant une persistance.
Risques à maîtriser :
-
Confidentialité/Intégrité du SI de supervision : Impact intrinsèque sur le SI supervisé
-
Disponibilité du SI de supervision : Ne doit pas impacter le SI supervisé
-
Risques du SI supervisé : Ne doivent pas impacter la supervision
Besoin antinomique :
-
Cloisonnement : Maîtriser la propagation des risques, assurer la confidentialité des règles
-
Mutualisation : Améliorer la pertinence, optimiser les ressources
-
SI de supervision structuré en zones de sécurité (défense en profondeur)
-
Analyse de risque formelle des propagations
-
Stratégie de supervision dédiée au SI de supervision
-
Pour supervision mutualisée : besoins de sécurité du SI supervisé le plus strict
Priorisation :
-
Enjeux humains (capital humain = force vive)
- Risque de fatigue des alertes = probable avec impact important
-
Enjeux cyber (importants à prendre en compte)
-
Enjeux métier (importants)
-
Autres enjeux : selon le contexte spécifique
Attribution :
-
Enjeux stratégiques → Management de la supervision
-
Enjeux projet/juridiques → Chef de projet/Management
-
Enjeux métier/technique/cyber → Répartition dans les chantiers
Recueillir la connaissance selon plusieurs axes :
-
Risques
-
Technologies
-
Architecture
-
Vie du SI (interventions, méthodes d'administration)
Cette intersection de savoirs conduit à une stratégie de détection efficace.
Avant de superviser, élever le niveau de sécurité du SI à un seuil de cybersécurité nominal :
-
Respecter les principes de défense en profondeur
-
Appliquer les mesures d'hygiène informatique
Sinon, c'est une perte de temps et d'argent.
Atteindre un premier niveau de supervision sans investissement supplémentaire :
-
Miser sur la connaissance de l'existant
-
Utiliser les outils de sécurité déjà déployés (antivirus, journalisation)
-
Limiter l'ajout de moyens techniques au démarrage
-
Confier la maintenance du SI de supervision aux équipes d'exploitation
Partir des sources de données disponibles et pertinentes pour satisfaire certains objectifs :
-
Couverture du périmètre à superviser
-
Représentativité des activités (système, réseau, applicatif, industriel)
-
Prise en compte des objectifs de supervision
Approche itérative d'amélioration continue.
Le poste de travail est le point faible utilisé par de nombreuses attaques de masse :
-
S'assurer que les principes d'hygiène informatique sont correctement appliqués
-
S'intéresser aux éléments de sécurité déjà déployés (antivirus)
-
Traiter les causes des alertes levées
-
Cas échéant, déployer une solution EDR pour une visibilité plus riche
Les postes sont un point de départ ; autres périmètres doivent aussi être traités (équipements de bordure, interconnexion, services exposés, annuaire).
Limiter le volume des données :
-
Déterminer l'activité malveillante recherchée et les scénarios de menace
-
Sélectionner des sources pertinentes pour détecter ces scénarios
-
Choisir un niveau de journalisation adapté
-
Filtrer les événements récurrents inutiles
-
Agréger les événements apparentés
-
Adapter la période de rétention au besoin réel d'analyse
Traiter hors du périmètre de supervision les autres besoins (archivage, obligations réglementaires, maintenance).
Montée en maturité progressive selon trois axes :
Processus :
-
Initialiser progressivement à partir du processus de connaissance du périmètre
-
Externaliser certains processus au besoin
Outils :
- Implémenter graduellement (capteurs, puis centralisation, puis enrichissement)
Périmètres :
-
Couvrir par avancées successives sans avancer trop vite
-
Choisir judicieusement les familles d'équipements à couvrir de façon exhaustive
La création d'une supervision s'apparente à une course de fond :
-
Budget conçu sur du moyen/long terme
-
Ressources humaines enrichies au fil du développement
-
Attentes opérationnelles réalistes, évoluant selon les succès
L'incertitude est une composante de la supervision de sécurité :
-
Jamais de certitude sur le choix des sources de données
-
Jamais de certitude sur la pertinence des critères
-
Jamais de certitude en l'absence de résultat
Mettre en place des mesures :
-
Vérifier la pertinence et l'efficacité par des exercices réguliers
-
Plateforme de tests automatisés
-
Tests de pénétration « red team »
-
Tests coopératifs avec analystes, puis en aveugle
Le capital confiance est une ressource précieuse conditionnant l'efficacité :
-
Se gagne progressivement, pas sur des faits d'armes retentissants
-
Répartir clairement les rôles et responsabilités
-
Adopter une démarche transparente (« dire ce qu'on fait et faire ce qu'on dit »)
-
Rester neutre pour éviter les critiques
-
Partager régulièrement les axes de progression et les indicateurs
-
Éclairer les équipes DSI sur ce que le dispositif produit
| Thème | Recommandations |
|-------|-----------------|
| Stratégie & Connaissance | R1 |
| Préparation du SI | R2 |
| Démarrage pragmatique | R3, R4 |
| Domaines prioritaires | R5, R6 |
| Progression | R7, R8 |
| Gestion des risques | R9 |
| Relations & Confiance | R10 |
Document : ANSSI-PG-113 v1.0 - 25 juillet 2025
Licence : Ouverte/Open Licence (Etalab — V2.0)